Fail2ban: Unterschied zwischen den Versionen

Version vom 26. Februar 2023, 14:51 Uhr

fail2ban - Intrusion Prevention System

Beschreibung

Framework zur Vorbeugung gegen Einbrüche

Intrusion Prevention System
POSIX-Betriebssysteme
die ein manipulierbares Paketfiltersystem oder eine Firewall besitzen
- z. B. iptables unter Linux

Option	Beschreibung
Hersteller	Cyril Jaquier, Arturo 'Buanzo' Busleiman
Version	0.9.5
AktuelleVersionFreigabeDatum	15. Juli 2016
Vorabversion	0.10.0
Betriebssystem	Linux/POSIXe mit Firewall
Programmiersprache	Python
Kategorie	Intrusion Prevention System
Lizenz	GPL Version 2 (freie Software)
Website	www.fail2ban.org

Installation

# apt install fail2ban

Funktionalität

IP-Adressen blockieren

die wahrscheinlich zu Angreifern gehören
die sich Zugang zum System verschaffen wollen

Log-File analyse

/var/log/pwdfail
/var/log/auth.log
/var/log/apache2/error.log

IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.

^[1] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).^[2] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.

Aktionen

Wenn eine wahrscheinlich bösartige IP entdeckt wurde

etwa diese IP mit einer Regel in iptables oder der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.^[3]

Filter

Werden durch reguläre Ausdrücke definiert

die vom Administrator gut angepasst werden können

Standardfilter

Jail

Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet

^[4] und ist in der Lage, bösartige Hosts zu blockieren.^[5] Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.^[6]

Anwendungen

Fehlerbehebung

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Siehe auch

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

↑ Features – Fail2ban
↑ MANUAL 0 8 – Fail2ban
↑ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin
↑ Vorlage:Webarchiv
↑ Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "Use fail2ban to block ssh and Apache dictionary attacks"
↑ Vorlage:Webarchiv

Projekt

http://www.fail2ban.org

Weblinks

Requirements – Fail2ban

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

[1] Features – Fail2ban

[2] MANUAL 0 8 – Fail2ban

[3] Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin

[4] Vorlage:Webarchiv

[5] Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "Use fail2ban to block ssh and Apache dictionary attacks"

[6] Vorlage:Webarchiv

[1]

[2]

[3]

[4]

[5]

[6]

@@ Zeile 70: / Zeile 70: @@
 == Jail ==
-; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet<ref>{{Webarchiv |url=http://debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies#jail |text=Debian Package of the Day >> Blog Archive >> Fail2ban: an enemy of script-kiddies |wayback=20080304160820}}</ref> und ist in der Lage, bösartige Hosts zu blockieren.<ref>Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "''Use fail2ban to block ssh and Apache dictionary attacks''" {{Internetquelle |url=http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |titel=Cyber Security Awareness Month Day 19 – Linux Tips |hrsg=SLAC Computer Security |datum=2007-10-19 |sprache=en |archiv-url=https://web.archive.org/web/20091008025158/http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |archiv-datum=2009-10-08 |offline=1 |abruf=2008-01-15}}</ref> Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
+; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet
+* <ref>{{Webarchiv |url=http://debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies#jail |text=Debian Package of the Day >> Blog Archive >> Fail2ban: an enemy of script-kiddies |wayback=20080304160820}}</ref> und ist in der Lage, bösartige Hosts zu blockieren.<ref>Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "''Use fail2ban to block ssh and Apache dictionary attacks''" {{Internetquelle |url=http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |titel=Cyber Security Awareness Month Day 19 – Linux Tips |hrsg=SLAC Computer Security |datum=2007-10-19 |sprache=en |archiv-url=https://web.archive.org/web/20091008025158/http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |archiv-datum=2009-10-08 |offline=1 |abruf=2008-01-15}}</ref> Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
 * Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref>